ФБР выпустило срочное уведомление о том, что связанная с КНДР APT Kimsuky внедрила вредоносные URL-адреса в QR‑коды, доставляемые посредством целевой фишинговой рассылки, чтобы обойти проверку электронной почты и URL. Бюро призвало организации, находящиеся в зоне риска, ужесточить MFA, контроль мобильных устройств и предупредить пользователей о рисках сканирования QR‑кодов.

8 января 2026 года ФБР выпустило срочное предупреждение, что Kimsuky, связанная с Северной Кореей продвинутая устойчивая угроза (advanced persistent threat), стала использовать тактику 'quishing', встраивая вредоносные URL в QR‑коды внутри целевых фишинговых (spear‑phishing) писем и вложений. Направляя цели сканировать QR‑коды с мобильных устройств, атакующие могут обойти корпоративную фильтрацию электронной почты и URL, перехватывать сессионные токены и в некоторых случаях обходить многофакторную аутентификацию для захвата облачных аккаунтов. В бюллетене были выделены целевые секторы, такие как негосударственные организации, аналитические центры, академические учреждения и исследователи в области прав человека, а также описаны последующие действия, включавшие боковое перемещение и повторное использование учетных данных. Бюро рекомендовало применять политику МФА, основанную на оценке рисков и устойчивую к краже токенов, ограничить сканирование QR на корпоративных устройствах, вводить средства контроля доступа по модели нулевого доверия и проводить тренинги по осведомленности о фишинге и учения по реагированию на инциденты. ФБР также призвало к оперативной отчетности и обмену информацией, чтобы защитники могли блокировать обнаруженную инфраструктуру и снижать воздействие компрометации токенов. Профильные издания по безопасности повторили предупреждение, анализируя телеметрию и лучшие практики смягчения для корпоративных защитников.